Сквозная Windows-аутентификация позволяет пользователю не вводить свои учетные данные при входе на сайт веб-доступа. Проводник веб-клиента откроется автоматически.
Перед началом настройки убедитесь, что на сервере веб-доступа установлен компонент Windows Identity Foundation версии 3.5 или выше.
Для настройки сквозной Windows-аутентификации компьютеры пользователей должны входить в домен Windows и должна быть настроена возможность аутентификации с доменными учетными записями. Подробнее о вводе компьютеров с ОС на базе Linux в домен Windows см. в документации Ubuntu.
Чтобы настроить сквозную Windows-аутентификацию на сайте веб-доступа:
| 1. | В Диспетчере служб IIS в свойствах веб-сайта для возможности «Проверка подлинности» настройте значения, как на изображении: |
| 2. | Выберите Проверка подлинности Windows. Откроется окно «Windows-аутентификация». |
| 3. | В области «Действия» выберите пункт Поставщики…. |
| 4. | В открывшемся окне проверьте последовательность указанных поставщиков: 1 – Negotiate, 2 – NTLM. |
| 7. | Убедитесь, что в настройках веб-сайта включена проверка подлинности в режиме ядра: |
| a) | В диспетчере служб IIS откройте «Редактор конфигураций» для сайта веб-доступа. |
| b) | Последовательно перейдите в разделы system.webServer, security, authentication, windowsAuthentication. |
| c) | В параметрах useAppPoolCredentials и useKernelMode укажите значение True. |
Дополнительная информация
При необходимости значения настроек можно изменить напрямую в конфигурационном файле. В файле %WINDIR%\System32\inetsrv\config\applicationHost.config в группе настроек веб-сайта, для которого включается проверка подлинности в режиме ядра, в настройках Windows-аутентификации укажите значение true для параметров useKernelMode и useAppPoolCredentials:
<system.webServer>
<security>
<authentication>
<!-- Настройки Windows-аутентификации -->
<windowsAuthentication
enabled="true"
useKernelMode="true"
useAppPoolCredentials="true">
</authentication>
</security>
</system.webServer>
Перед изменением файла applicationHost.config рекомендуется сохранить его резервную копию, так как некорректное изменение файла может привести к неработоспособности веб-сервера и всех установленных сайтов в IIS.
Примечание
Если в файле applicationHost.config нет параметров useKernelMode и useAppPoolCredentials, добавьте их вручную или запустите Диспетчер служб IIS, выберите функцию Проверка подлинности, включите параметры Анонимная проверка подлинности и Олицетворение ASP.NET.
|
| 8. | Пользователя, от имени которого запускаются процессы Directum SBRte и SBLogon, включите в группу Windows «Администраторы». |
| 9. | Пул приложений и процесс SBRte запустите от имени одного пользователя. |
| 10. | Отключите контроль учетных записей (UAC) на сервере веб-доступа. |
| 11. | Для всех доменных учетных записей пользователей, которые непосредственно работают с веб-клиентом, выдайте права на изменение папок: |
| • | C:\inetpub\wwwroot\DirectumWebAccess; |
| • | C:\inetpub\wwwroot\DirectumWebAccess\users; |
| • | C:\inetpub\wwwroot\DirectumWebAccess\js\localization. |
В результате на сайте веб-доступа Windows-аутентификация пользователей будет осуществляться автоматически.
В случае некорректной установки или настройки сквозной Windows-аутентификации могут возникнуть неисправности. Подробнее о том, как их разрешить, см. разделы «Устранение неисправностей на сервере» и «Устранение неисправностей на клиентском компьютере».
